Cette procédure permet d’activer la journalisation d’un serveur DHCP (Dynamic Host Configuration Protocol).
Pour effectuer cette procédure, vous devez appartenir au minimum au groupe Administrateurs ou Administrateurs DHCP.
 | Pour activer la journalisation d’un serveur DHCP |
Ouvrez le composant logiciel enfichable MMC (Microsoft Management Console) DHCP.
Dans l’arborescence de la console, cliquez sur le serveur DHCP à configurer.
Dans le menu Action, cliquez sur Propriétés.
Sous l’onglet Général, sélectionnez Activer l’enregistrement d’audit DHCP, puis cliquez sur OK.
Analyse des fichiers journaux d’un serveur
Dans Windows Server 2008, les fichiers journaux du serveur DHCP sont configurés par défaut afin de gérer la croissance des fichiers journaux et de préserver les ressources de disque. L’emplacement par défaut des journaux d’audit DHCP est %windir%\System32\Dhcp.
La section suivante présente le format de ces fichiers journaux et la manière dont ils peuvent servir à rassembler davantage d’informations sur les opérations du service Serveur DHCP sur le réseau.
Format de fichier journal d’un serveur DHCP
Les fichiers journaux de serveur DHCP sont des fichiers texte délimités par des virgules dans lesquels chaque entrée de journal représente une seule ligne de texte. Les champs d’une entrée de fichier journal (et l’ordre dans lequel ils apparaissent) sont les suivants :
ID, Date, Heure, Description, Adresse IP, Nom de l’hôte, Adresse MAC
Chacun de ces champs est décrit en détail dans le tableau suivant :
| Champ | Description |
|---|---|
|
ID |
Code d’identification d’un événement de serveur DHCP. |
|
Date |
Date à laquelle cette entrée a été enregistrée sur le serveur DHCP. |
|
Heure |
Heure à laquelle cette entrée a été enregistrée sur le serveur DHCP. |
|
Description |
Description de cet événement de serveur DHCP. |
|
Adresse IP |
Adresse IP du client DHCP. |
|
Nom de l’hôte |
Nom de l’hôte du client DHCP. |
|
Adresse MAC |
Adresse de contrôle d’accès au média (MAC) utilisée par la carte réseau du client. |
Journal de serveur DHCP : codes d’événements courants
Les fichiers journaux d’audit de serveur DHCP utilisent des codes d’identification des événements réservés afin de fournir des informations sur le type d’événement ou d’activité de serveur enregistré. Le tableau suivant décrit ces codes d’identification des événements de manière plus détaillée.
| ID d’événement | Description |
|---|---|
|
00 |
Le journal a démarré. |
|
01 |
Le journal a été arrêté. |
|
02 |
Le journal a été temporairement suspendu par manque d’espace disque. |
|
10 |
Une nouvelle adresse IP a été allouée par bail à un client. |
|
11 |
Un bail a été renouvelé par un client. |
|
12 |
Un bail a été libéré par un client. |
|
13 |
Une adresse IP a été trouvée en cours d’utilisation sur le réseau. |
|
14 |
Une demande de bail n’a pas pu être satisfaite, car le pool d’adresses de l’étendue a été épuisé. |
|
15 |
Un bail a été refusé. |
|
20 |
Une adresse BOOTP a été allouée par bail à un client. |
Événements de mise à jour dynamique DNS
Lorsque le serveur DHCP est configuré pour effectuer des mises à jour dynamique DNS (Domain Name System) de la part de clients DHCP, vous pouvez utiliser les journaux d’audit DHCP pour contrôler les demandes de mise à jour effectuées par le serveur DHCP auprès du serveur DNS, les mises à jour d’enregistrements DNS qui ont réussi et les mises à jour d’enregistrements DNS qui ont échoué. Les ID d’événements suivants sont utilisés pour les événements de mise à jour dynamique DNS :
| ID d’événement | Description |
|---|---|
|
30 |
Demande de mise à jour DNS au serveur DNS nommé |
|
31 |
Échec de la mise à jour DNS |
|
32 |
Réussite de la mise à jour DNS |
L’adresse IP de l’ordinateur client DHCP est incluse dans le journal d’audit DHCP afin que vous puissiez suivre la source en cas d’attaque par déni de service.
Journaux de serveur DHCP : événements d’autorisation de serveur
Voici d’autres codes d’identification et descriptions d’événements de serveur. Ces événements peuvent apparaître dans des journaux créés par des serveurs DHCP qui exécutent Windows Server 2008. Ils se rapportent au serveur DHCP spécifique et à son état d’autorisation lors d’un déploiement dans des environnements de services de domaine Active Directory (AD DS).
| ID d’événement | Description |
|---|---|
|
50 |
Domaine non joignable Le serveur DHCP n’a pas localisé le domaine spécifique afin d’obtenir son installation Active Directory configurée. |
|
51 |
Autorisation validée Le serveur DHCP a été autorisé à démarrer sur le réseau. |
|
52 |
Serveur mis à niveau vers un système d’exploitation Windows Server 2008 Le serveur DHCP a récemment été mis à niveau vers un système d’exploitation Windows Server 2008 ; par conséquent, la fonctionnalité de détection de serveur DHCP non autorisé (utilisée pour déterminer si le serveur a été autorisé dans AD DS) a été désactivée. |
|
53 |
Autorisation cachée Le serveur DHCP a été autorisé à démarrer à l’aide d’informations précédemment mises en cache. Les services de domaine AD DS étaient introuvables au moment où le serveur a démarré sur le réseau. |
|
54 |
Échec de l’autorisation Le serveur DHCP n’a pas été autorisé à démarrer sur le réseau. Lorsque cet événement se produit, il est susceptible d’être suivi par un arrêt du serveur. |
|
55 |
Autorisé (en service) Le serveur DHCP a été correctement autorisé à démarrer sur le réseau. |
|
56 |
Échec de l’autorisation, arrêt du service Le serveur DHCP n’a pas été autorisé à démarrer sur le réseau et a été arrêté par le système d’exploitation. Vous devez d’abord autoriser le serveur dans AD DS avant de le redémarrer. |
|
57 |
Serveur trouvé dans notre domaine Un autre serveur DHCP existe et son service est autorisé dans le même domaine. |
|
58 |
Impossible de trouver le domaine Le serveur DHCP n’a pas localisé le domaine spécifié. |
|
59 |
Échec de réseau Un échec lié au réseau a empêché le serveur de déterminer s’il est autorisé. |
|
60 |
Aucun contrôleur de domaine n’est activé en tant que service d’annuaire Aucun contrôleur de domaine exécutant Windows Server 2008 n’a été détecté. Pour déterminer si le serveur est autorisé, un contrôleur de domaine activé pour AD DS est requis. |
|
61 |
Un serveur appartenant au service d’annuaire du domaine a été trouvé Un autre serveur DHCP appartenant au domaine Active Directory a été trouvé sur le réseau. |
|
62 |
Un autre serveur a été trouvé Un autre serveur DHCP a été trouvé sur le réseau. |
|
63 |
Redémarrage de la détection de serveurs non autorisés Le serveur DHCP essaie de nouveau de déterminer s’il est autorisé à démarrer et à fournir des services sur le réseau. |
|
64 |
Aucune interface DHCP activée Les liaisons de service ou les connexions réseau du serveur DHCP sont configurées de sorte à ne pas l’activer pour fournir des services. Cet événement peut généralement avoir les causes suivantes :
|
Exemple : extrait d’un exemple de journal d’audit de serveur DHCP
L’exemple suivant est un bref extrait de l’activité d’un journal d’audit généré par le service Serveur DHCP :
ID Date,Time,Description,IP Address,Host Name,MAC Address 00,04/19/99,12:43:06,Started,,, 60,04/19/99,12:43:21,No DC is DS Enabled,,MYDOMAIN, 63,04/19/99,12:43:28,Restarting rogue detection,,, 01,04/19/99,13:11:13,Stopped,,, 00,04/19/99,12:43:06,Started,,, 55,04/19/99,12:43:54,Authorized(servicing),,MYDOMAIN,
Dans cet exemple, le serveur DHCP n’a pas été autorisé lors de son démarrage initial et a été ensuite arrêté. Une fois qu’il est autorisé, le serveur peut alors redémarrer et fournir des services aux clients.
Ressources supplémentaires
Pour obtenir la liste des rubriques d’aide proposant des informations connexes, voir Tâches recommandées pour le rôle Serveur DHCP.
Pour obtenir des informations détaillées destinées aux professionnels de l’informatique sur DHCP, voir la documentation Windows Server 2008 (éventuellement en anglais) sur le site Web